一种基于轻型虚拟机的计算服务分离与安全保护系统的利记博彩app

一种基于轻型虚拟机的计算服务分离与安全保护系统的利记博彩app
【技术领域】
[0001]本发明是关于信息安全和计算服务管理领域，特别涉及一种基于轻型虚拟机的计算服务分离与安全保护系统。
【背景技术】
[0002]随着越来越多不同类型的计算服务聚合到各种机顶盒、宽带猫、网络电话机、微型服务器等小型计算设备，各种服务之间的隔离和保护越来越得到服务提供商的重视。同时，在各种云终端设备日益普及到千家万户来提供各种云计算服务的今天，云终端内部的管理和安全保护也逐渐成为云终端能否被接受乃至全套服务能否成功的关键。而云终端的小型化和易用性的发展强烈要求云终端内部管理减少资源消耗。但目前业界尚无一种统一的技术来同时实现服务分离和安全保护。
[0003]首先，现存的云计算管理主要集中于平台资源的调度和管理，如专利CN103124274A “一种云计算虚拟化调度方法及装置”和CN103744714A “基于云计算的虚拟机管理平台”中所述的方法。这类方法专注于资源的统一管理并以最优化的方案分配给虚拟机，同时监控资源的使用情况。
[0004]其次，为了实现对多种不同类型服务的支持，有一类平台层次化技术可以将云计算平台中的资源进行分离，如专利CN102739771A “一种支持服务融合的云应用集成管理平台和方法”所述的体系结构。此外，还有一些技术可以为云计算平台提供虚拟机资源的弹性管理，如专利CN103559072A “虚拟机双向自动伸缩服务实现方法及其系统”所介绍的系统。但是，这类方法无法支持计算服务本身的分离，使得共享资源容易受到攻击。
[0005]另外，现有的云安全保护技术多使用额外资源和云平台中的共享资源进行安全防护，如专利CN102917015A “一种基于云计算的虚拟化容忍入侵的方法及装置”中介绍的方法。但是，现有的方法多只提供单一的安全保护，并且需要较多的额外资源。
[0006]综上，目前没有任何比较系统的技术来同时支持服务隔离和服务的安全保护。

【发明内容】

[0007]本发明的主要目的在于克服现有技术中的不足，提供一种能够在消耗额外资源很小的前提下为小型计算设备提供实时多通道安全保护和按需分配服务隔离的技术。为解决上述技术问题，本发明的解决方案是:
[0008]提供一种基于轻型虚拟机的计算服务分离与安全保护系统，用于对小型服务器和云计算设备(不仅包括普通云计算或云存储的服务器，还包括机顶盒、智能电视、智能电话等各类小型化的云计算设备)进行安全保护和服务隔离，所述基于轻型虚拟机的计算服务分离与安全保护系统设置在宿主机上，包括下述模块:
[0009](一 )计算服务分离模块；
[0010]( 二)多通道安全保护模块；
[0011](三)虚拟的统一管理模块；
[0012](一 )计算服务分离模块，用于实现轻虚拟机的按需生成和自动配置，具体包括下述步骤:
[0013]步骤A)服务主管机生成:在小型服务器和云计算设备启动的过程中，首先生成一个有域主管权限的轻虚拟机，即服务主管机；服务主管机能够按服务需求生成虚拟机，即服务轻虚拟机，并在该服务运行完毕后自动销毁所生成的服务轻虚拟机(由计算服务发出请求，并由服务主管机验证后执行)，且服务主管机能在宿主机中执行特权指令；所述轻虚拟机(包括服务主管机和服务轻虚拟机)能够区分特权指令(内核指令)和一般用户级指令的执行；
[0014]步骤B)计算服务请求验证:当小型服务器和云计算设备收到计算服务请求时，月艮务主管机需要确认整个小型服务器和云计算设备拥有服务所需的全部资源，并验证请求发起方拥有必须的使用权限；
[0015]步骤C)轻虚拟机生成:当通过步骤B的计算服务请求验证后，服务主管机按服务需求在宿主机上生成一个服务轻虚拟机，并按所需资源配置该服务轻虚拟机；
[0016]步骤D)轻虚拟机自动配置调整:在服务轻虚拟机运行过程中，服务主管机定期查询资源使用情况:如果在服务运行过程中资源需求发生变化，服务主管机能够自动地动态调整服务轻虚拟机的配置；当服务运行过程中有突发事件需要调整资源配置时，服务主管机能够自动响应并调整服务轻虚拟机的配置；
[0017]( 二)多通道安全保护模块，用于监控由不同通道发起的安全攻击和系统入侵，具体包括下述步骤:
[0018]步骤E)虚拟机内置安全保护(多通道安全保护机制的第一种通道，即虚拟机局部通道):在每一个计算服务所在的服务轻虚拟机上安装安全保护程序(比如实时病毒防护软件和防火墙软件)，用于实现虚拟机内部的局部保护；
[0019]步骤F)宿主机直接安全保护(多通道安全保护机制的第二种通道，即宿主机直接通道):在宿主机上安装安全保护程序，用于实现宿主机内部的保护，且宿主机还通过运行一个虚拟机系统调用的监控程序，实现监控所有运行在宿主机上的系统调用，并对需要修改宿主机系统参数和硬件资源的系统调用特别监控，系统调用包括从轻虚拟机上运行的计算服务发起的系统调用和虚拟机本身发起的系统调用；
[0020]步骤G)跨虚拟机安全保护(多通道安全保护机制的第三种通道，即虚拟机相互通道):宿主机通过运行一个虚拟局域网通信监控程序，用于对不同轻虚拟机之间的系统调用和消息传递进行监控，不同虚拟机之间的系统调用和消息传递都通过虚拟局域网(VLAN)进行相互通信；
[0021]步骤H)宿主机综合安全保护(多通道安全保护机制的第四种通道，即宿主机综合通道):宿主机通过运行一个基于模式库的监控程序，用于实现宿主机综合通道的安全保护；所述基于模式库的监控程序是指由不同的轻虚拟机发起，并在宿主机上拼接成攻击指令或指令序列的系统调用，且拼接模式由记录在模式库中的模式决定；模式库具体是指已知可拼接攻击指令和指令序列的数据库(该数据库的来源可以是第三方安全机构的数据源，也可以是云服务提供商自己的数据源)，模式库进行定期更新；
[0022](三)虚拟的统一管理模块，即通过服务主管机实现对服务轻虚拟机和宿主机的统一管理，具体包括下述步骤:
[0023]步骤I)虚拟机管理和监控:计算服务发出请求后，服务主管机实现验证、生成和配置轻虚拟机，即步骤B、步骤C、步骤D，且在计算服务结束时，服务主管机监控计算服务的结束请求并摧毁虚拟机；当服务主管机的安全保护(包括虚拟机内置的安全保护程序和宿主机综合安全保护程序)发现受到攻击或入侵，服务主管机能够进行自我摧毁，并在宿主机上镜像生成另一个服务主管机；
[0024]步骤J)宿主机管理和监控:宿主机能够初始生成服务主管机，并实现宿主机上的多种保护通道和监控管理，即步骤F、步骤G和步骤H ;宿主机还能对轻虚拟机自动配置调整中的剩余资源进行回收和统一调度，即对服务主管机调整后的轻虚拟机剩余资源进行回收和统一调度。
[0025]在本发明中，所述服务主管机和服务轻虚拟机能够通过宿主机的内核编程和虚拟机内部设置实现。
[0026]在本发明中，所述步骤F和步骤H中，宿主机上通过虚拟机系统调用的监控程序、基于模式库的监控程序通过一个宿主机监控程序的两个模块来实现。
[0027]在本发明中，所述虚拟的统一管理模块中，步骤I和步骤J分别采用虚拟机、宿主机中分立的独立模块来执行，用于实现安全保护和统一管理的按需配置和灵活扩展。
[0028]与现有技术相比，本发明的有益效果是:
[0029]1、本发明采用基于轻型虚拟机的技术，来达到在消耗额外资源很小的前提下为小型计算设备，特别是最靠近用户的云计算设备，提供实时的多通道安全保护和按需分配的服务隔离；能够提高云终端运行效率，增强云终端内部管理，并同时强化云终端各项安全性能的技术。
[0030]2、本发明的轻型虚拟机技术是沙箱技术的一种衍生物，它在减少资源消耗的基础上进一步简化了虚拟机结构，虚拟化技术可以有效地支持服务分离，而在轻型虚拟机上的多通道安全监控和攻击拦截技术可以有机地结合安全保护与服务分离；该技术可以最大限度地利用轻型虚拟机上已经分配的资源，并且充分利用各种资源之间的相互关联来监测来自不同通道的攻击，同时还可以通过轻型虚拟机之间的共享资源来监测分布式攻击。
[0031]3、本发明将是各种小型云计算设备(包括终端设备和可穿戴设备)强化内部计算服务管理和提高安全性的必要技术，且该技术处于国内领先和国际先进水平。
【附图说明】
[0032]图1为宿主机和服务主管机、其它服务轻虚拟机的关系示意图。
[0033]图2为虚拟化环境中四种潜在攻击通道及安全保护机制的位置示意图。
【具体实施方式】
[0034]首先需要说明的是，本发明是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:计算服务分离模块、多通道安全保护模块、虚拟的统一管理模块等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。
[0035]下面结合附图与【具体实施方式】对本发明作进一步详细描述:
[0036]本发明不依赖于某一特定厂商开发的某一种虚拟机，但本发明的技术要求虚拟机能够区分特权指令(内核指令)和一般用户级指令的执行。同时本发明要求虚拟机管理器可以根据运行服务所需要的资源来配置虚拟机。这两项要求能够被绝大多数市面上已经有的和未来的轻虚拟机支持。
[0037]如图1所示的一种基于轻型虚拟机的计算服务分离与安全保护系统，设置在宿主机上，用于对小型服务器和云计算设备进行安全保护和服务隔离，具体包括下述模块:
[0038](一 )计算服务分离模块；
[0039]( 二)多通道安全保护模块；
[0040](三)虚拟的统一管理模块。
[0041](一 )计算服务分离模块，用于实现轻虚拟机的按需生成和自动配置，具体包括下述步骤:
[0042]步骤A)服务主管机生成:在小型服务器和云计算设备启动的过程中，首先生成一个有域主管权限的轻虚